#news К новинкам малвари. В сетевых дебрях замечен новый загрузчик HijackLoader. Впервые он всплыл в июле 2023-го, через него распространяют DanaBot, SystemBC и Redline Stealer. В качестве ноу-хау в загрузчике модульная архитектура под инъекцию и выполнение кода, что для такого вредоноса – редкость.
Для обхода обнаружения HijackLoader использует системные вызовы и отложенное выполнение кода до 40 секунд. Плюс блок-лист под определённые процессы защитных решений. При этом особо продвинутых фич у загрузчика нет и качеством кода он не отличается. Но с уходом Emotet и QakBot злоумышленники активно ищут альтернативы, переключаясь и на HijackLoader. Так что и такое поделие может занять освободившуюся нишу, в дальнейшем получив обновление кривоватого кода. Подробнее о загрузчике с IoCs и прочим в отчёте.
@tomhunter
Для обхода обнаружения HijackLoader использует системные вызовы и отложенное выполнение кода до 40 секунд. Плюс блок-лист под определённые процессы защитных решений. При этом особо продвинутых фич у загрузчика нет и качеством кода он не отличается. Но с уходом Emotet и QakBot злоумышленники активно ищут альтернативы, переключаясь и на HijackLoader. Так что и такое поделие может занять освободившуюся нишу, в дальнейшем получив обновление кривоватого кода. Подробнее о загрузчике с IoCs и прочим в отчёте.
@tomhunter
❤3😁1
#news Исследователи разработали атаку для кражи числовых паролей через Wi-Fi. Названная WiKI-Eve атака может перехватывать пароли простым текстом со смартфонов с точностью до 90 процентов. 6-значные расшифровывает с точностью до 85%, более сложные от приложений – около 66%. При этом в 16 из 20 самых распространённых паролей только цифры.
WiKI-Eve утилизирует BFI (Beamforming Feedback Information) – функцию в Wi-Fi-протоколе, появившуюся с выходом 802.11ac и отправляющую обратную связь о местоположении на роутеры. Атак перехватывает пароль во время его ввода и нужно сначала выяснить MAC-адрес жертвы. Но при этом не требует взлома железа или ключа шифрования. Нажатие клавиш создаёт изменения в сигнале, а далее в ход идёт машинное обучение и алгоритм под атаку. В общем, у нас очередной серьёзный вызов для инфобез-индустрии, возможно, криминал и головная боль для разработчиков. Подробнее об атаке в отчёте.
@tomhunter
WiKI-Eve утилизирует BFI (Beamforming Feedback Information) – функцию в Wi-Fi-протоколе, появившуюся с выходом 802.11ac и отправляющую обратную связь о местоположении на роутеры. Атак перехватывает пароль во время его ввода и нужно сначала выяснить MAC-адрес жертвы. Но при этом не требует взлома железа или ключа шифрования. Нажатие клавиш создаёт изменения в сигнале, а далее в ход идёт машинное обучение и алгоритм под атаку. В общем, у нас очередной серьёзный вызов для инфобез-индустрии, возможно, криминал и головная боль для разработчиков. Подробнее об атаке в отчёте.
@tomhunter
🤯5🔥4❤2
#news 2023-й продолжает тренд на инфостилеры под MacOS: на киберпреступном рынке очередная новинка, MetaStealer. Написан на Go, с обфускацией, тянет данные со связки ключей iCloud, сохранённые пароли и файлы с устройства жертвы. В некоторых версиях есть функционал под кражу инфы с приложений Telegram и Meta.
MetaStealer распространяют через социнженерию под видом DMG- и Adobe-файлов, а также установочников под Photoshop. Кроме того, его подают под видом приложения TradingView, как и Atomic Stealer. А это наводит исследователей на мысли, что за обоими вредоносами могут стоять одни и те же злоумышленники. Могут, впрочем, и не стоять. Что занятно, основная цель кампании по распространению MetaStealer – бизнес-юзеры. Так что пользующиеся новинкой товарищи метят высоко – прямиком в корпоративные сети. В общем, стремятся окучивать непуганых работников по стильным офисам с ровными рядками аймаков. Подробнее о MetaStealer читайте в блоге от SentinelOne.
@tomhunter
MetaStealer распространяют через социнженерию под видом DMG- и Adobe-файлов, а также установочников под Photoshop. Кроме того, его подают под видом приложения TradingView, как и Atomic Stealer. А это наводит исследователей на мысли, что за обоими вредоносами могут стоять одни и те же злоумышленники. Могут, впрочем, и не стоять. Что занятно, основная цель кампании по распространению MetaStealer – бизнес-юзеры. Так что пользующиеся новинкой товарищи метят высоко – прямиком в корпоративные сети. В общем, стремятся окучивать непуганых работников по стильным офисам с ровными рядками аймаков. Подробнее о MetaStealer читайте в блоге от SentinelOne.
@tomhunter
🔥6❤3
#news Эпидемия сим-своппинга за океаном добралась и до криптонебожителей: 9 сентября взломали аккаунт в Твиттере небезызвестного создателя Etherium Виталика Бутерина. Немного социнженерии по печально известной такими событиями T-mobile, и хакеры сбросили пароль к аккаунту эфирного криптокороля. По следам взлома запоздало рекомендуют отвязывать телефоны от аккаунтов и подключать 2FA. Сам Бутерин сообщил, что советы о небезопасности номеров видел раньше, но к ним не прислушивался. Увы.
В итоге во взломанный аккаунт запостили заманчивое предложение с раздачей NFT от узнаваемого лица. По вредоносной же ссылке подчистую высасывали кошельки. И этот маленький криптоскам от лже-Виталика обошёлся доверчивым юзерам в почти 700 тысяч долларов. Что ж, конфузы случаются с лучшими из нас.
@tomhunter
В итоге во взломанный аккаунт запостили заманчивое предложение с раздачей NFT от узнаваемого лица. По вредоносной же ссылке подчистую высасывали кошельки. И этот маленький криптоскам от лже-Виталика обошёлся доверчивым юзерам в почти 700 тысяч долларов. Что ж, конфузы случаются с лучшими из нас.
@tomhunter
🤯4🔥2😢1
#news В США начался эпохальный процесс над Google: крупнейшее за 25 лет антимонопольное разбирательство. Корпорацию обвиняют в монополизации онлайн-поиска – ни много ни мало 89% всего рынка. Ближайшие 2,5 месяца её ждут тяжбы по делу, а в случае решения не в пользу Гугла – ещё один суд, на котором определят меры против компании.
Старички помнят расследование против Microsoft в 90-х. Здесь история, в сущности, повторяется. Даже защита у Гугл с тем же душком: мы корпорация добра и света за всё хорошее против всего забагованного, у нас бесплатный продукт, которым все-все пользуются, просто потому что он такой замечательный. Четверть века назад Майкрософт легко отделалась, по сути соскочив со всех обвинений. Каковы шансы у проигравшего тогда американского правительства против очередной зубастой корпорации? Неумолимая логика киберпанковой романтики подсказывает, что небольшие. Но будет следить за развитием событий. Речь всё же о ключевом деле для всей IT-индустрии.
@tomhunter
Старички помнят расследование против Microsoft в 90-х. Здесь история, в сущности, повторяется. Даже защита у Гугл с тем же душком: мы корпорация добра и света за всё хорошее против всего забагованного, у нас бесплатный продукт, которым все-все пользуются, просто потому что он такой замечательный. Четверть века назад Майкрософт легко отделалась, по сути соскочив со всех обвинений. Каковы шансы у проигравшего тогда американского правительства против очередной зубастой корпорации? Неумолимая логика киберпанковой романтики подсказывает, что небольшие. Но будет следить за развитием событий. Речь всё же о ключевом деле для всей IT-индустрии.
@tomhunter
🔥12❤4
#news На новой итерации Breached всплыл интересный персонаж. Некто USDoD слил данные, украденные у Airbus, аэрокосмической компании из США, занятой как в гражданской отрасли, так и в оборонке. В утечке 3,200 поставщиков компании с именами, адресами, почтами и телефонами. Вектор атаки тоже хорош. Сотрудник турецкой авиалинии скачал пиратский софт с Redline Stealer’ом, а у компании был доступ к системам Airbus. И у явок-паролей любителя халявного софта нашлось применение.
Взломщик следом обещает слив данных оборонных подрядчиков США. Пикантности ситуации добавляет тянущийся за ником USDoD след. В прошлом декабре он взломал внутреннюю сеть ФБР InfraGard и выставил на продажу 80к данных её юзеров. Те тогда ответили перехватом форума, где продавали данные. А теперь товарищ USDoD вновь тыкает палочкой в штатовскую оборонку. Аналог экстремального спорта от мира киберпреступности, в общем. Для тех, кому не хватает адреналина.
@tomhunter
Взломщик следом обещает слив данных оборонных подрядчиков США. Пикантности ситуации добавляет тянущийся за ником USDoD след. В прошлом декабре он взломал внутреннюю сеть ФБР InfraGard и выставил на продажу 80к данных её юзеров. Те тогда ответили перехватом форума, где продавали данные. А теперь товарищ USDoD вновь тыкает палочкой в штатовскую оборонку. Аналог экстремального спорта от мира киберпреступности, в общем. Для тех, кому не хватает адреналина.
@tomhunter
🔥17😁6
#news Сайт менеджера загрузок Free Download Manager оказался с подвохом для линуксоидов: официальная страница софта периодически редиректила юзеров на домен с малварью. По ссылке сидит вредоносный Debian-пакет с инфостилером. И так на протяжение трёх лет.
В качестве вредоносной нагрузки шёл Bash Stealer под стягивание данных доступа, криптокошельков, облачных паролей и прочего пользовательского. Что занятно, редирект шёл лишь в некоторых случаях, что подразумевает скрипт с неизвестными условиями. Сайт FDM три года полон тем о подозрительных файлах и cron’ах от пользователей, не подозревающих, что подхватили малварь прямиком с портала поставщика. Между тем разработчик комментарии давать не спешит. Скорее всего, речь об атаке на цепочку поставок. В общем, если ставили FDM с 2020 по 2022, проверяйте системы на нежданные подарки.
@tomhunter
В качестве вредоносной нагрузки шёл Bash Stealer под стягивание данных доступа, криптокошельков, облачных паролей и прочего пользовательского. Что занятно, редирект шёл лишь в некоторых случаях, что подразумевает скрипт с неизвестными условиями. Сайт FDM три года полон тем о подозрительных файлах и cron’ах от пользователей, не подозревающих, что подхватили малварь прямиком с портала поставщика. Между тем разработчик комментарии давать не спешит. Скорее всего, речь об атаке на цепочку поставок. В общем, если ставили FDM с 2020 по 2022, проверяйте системы на нежданные подарки.
@tomhunter
🤯6🔥3💩1
#news Раз уж мы сидим в Телеграме, поговорим о его безопасности. Наш сотрудник Денис Симонов, известный под ником n0a, написал утилиту под определение айпишников контактов в мессенджере. Она анализирует трафик через протокол STUN, который устанавливает соединение между юзерами. В одном из передаваемых им атрибутов лежит публичный айпишник отправителя – его скрипт и ловит.
Для перехвата айпи нужно быть в контактах у юзера – по умолчанию peer-to-peer соединения идут только в таком случае, а для незнакомцев перенаправляются через сервера самого Телеграма. Для работы утилиты достаточно запустить скрипт, позвонить пользователю и сбросить звонок. Подробнее о методе в блоге разработчика. А желающим избежать его тестирования на себе достаточно запретить Telegram peer-to-peer соединения в настройках конфиденциальности звонков.
@tomhunter
Для перехвата айпи нужно быть в контактах у юзера – по умолчанию peer-to-peer соединения идут только в таком случае, а для незнакомцев перенаправляются через сервера самого Телеграма. Для работы утилиты достаточно запустить скрипт, позвонить пользователю и сбросить звонок. Подробнее о методе в блоге разработчика. А желающим избежать его тестирования на себе достаточно запретить Telegram peer-to-peer соединения в настройках конфиденциальности звонков.
@tomhunter
❤21💩10🤡3🔥2😁1😢1
#news В США четвёртый день лежат системы и стоят казино гиганта Caesars Entertainment. Они ушли оффлайн после рансомварь-атаки от сообщников группировки AlphaV. Интересен вектор атаки: империя стоимостью в $34 миллиарда пала после 10 минут социнженерии. Взломщики нашли профиль сотрудника на LinkedIn и позвонили от его лица в службу поддержки для получения данных доступа.
Планы у злоумышленников были не менее занятные: они хотели поковыряться в софте слот-машин и выдоить их до цента засланными агентами. В итоге ограничились шифрованием больше 100 ESXi-серверов и кражей данных толстосумов из программы лояльности казино. Кроме того, хакеры заявляют, что у них всё ещё есть доступ к системам, и они продолжат атаки, если не получат выкуп. Между тем кто-то из казино якобы тихонько заходит в чат группировки под взлом, вздыхает и молчит. Храбрости набираются, видимо. Что ж, оказывается, казино не всегда в выигрыше!
@tomhunter
Планы у злоумышленников были не менее занятные: они хотели поковыряться в софте слот-машин и выдоить их до цента засланными агентами. В итоге ограничились шифрованием больше 100 ESXi-серверов и кражей данных толстосумов из программы лояльности казино. Кроме того, хакеры заявляют, что у них всё ещё есть доступ к системам, и они продолжат атаки, если не получат выкуп. Между тем кто-то из казино якобы тихонько заходит в чат группировки под взлом, вздыхает и молчит. Храбрости набираются, видимо. Что ж, оказывается, казино не всегда в выигрыше!
@tomhunter
🔥17😁8❤2💩2
#news ТикТок затопило кучей видео с криптоскамом. Как обычно, со всё тем же опостылевшим лицом – раздача халявы идёт от Илона Маска, Tesla и SpaceX. Каждый час всплывают дипфейки с интервью Маска о битках и эфире. Некоторые видео и просто любительские с примером логина по промокоду и получения биткоинов даром.
Ну а по ссылкам простенькие шаблонные сайты, притворяющиеся криптобиржами. Жертва вводит промокод, глаза загораются при виде ~9000 баксов, полученных от космического визионера… Ну а дальше дело за малым: активируйте аккаунт, закинув на него ~130 долларов, чтобы вывести деньги. Предложение заманчивое, как тут отказаться. Казалось бы, кто на такие скамы всё ещё покупается? А вот нет, они по-прежнему довольно прибыльны. Ну и не стоит забывать, что из себя представляют средние юзеры ТикТока. С ними криптоскамеры по итогам года ещё новые рекорды украденных миллионов поставят.
@tomhunter
Ну а по ссылкам простенькие шаблонные сайты, притворяющиеся криптобиржами. Жертва вводит промокод, глаза загораются при виде ~9000 баксов, полученных от космического визионера… Ну а дальше дело за малым: активируйте аккаунт, закинув на него ~130 долларов, чтобы вывести деньги. Предложение заманчивое, как тут отказаться. Казалось бы, кто на такие скамы всё ещё покупается? А вот нет, они по-прежнему довольно прибыльны. Ну и не стоит забывать, что из себя представляют средние юзеры ТикТока. С ними криптоскамеры по итогам года ещё новые рекорды украденных миллионов поставят.
@tomhunter
😁16😢2❤1🔥1
#news Исследователи из Cybernews изучили 50 самых популярных приложений для здоровья под Android на предмет запрашиваемых ими разрешений. Результаты занятные. Приблуды для фитнеса, сна, медитации и прочих нехитрых развлечений любят избыточный и просто небезопасный доступ к данным юзеров.
Так, 44% запрашивают доступ к камере, больше половины – на чтение и запись внешнего хранилища, 18% – к контактам. Треть желает знать точное местоположение, каждое десятое – записывать аудио. Последнее ещё можно с натяжкой списать на приложения для сна, пишущие молодецкий храп пользователя. Но в целом разрешения не просто избыточные, но и ненужные для функционала большинства изученных игрушек. В каких спам-списках и прочих массивах данных на продажу могут оказаться данные юзеров, раздающих доступ всему подряд – вопрос открытый. Сливают ли приложения для бросания курить данные под таргетированную рекламу табачным гигантам? Наверное, мы ещё не готовы к этому разговору.
@tomhunter
Так, 44% запрашивают доступ к камере, больше половины – на чтение и запись внешнего хранилища, 18% – к контактам. Треть желает знать точное местоположение, каждое десятое – записывать аудио. Последнее ещё можно с натяжкой списать на приложения для сна, пишущие молодецкий храп пользователя. Но в целом разрешения не просто избыточные, но и ненужные для функционала большинства изученных игрушек. В каких спам-списках и прочих массивах данных на продажу могут оказаться данные юзеров, раздающих доступ всему подряд – вопрос открытый. Сливают ли приложения для бросания курить данные под таргетированную рекламу табачным гигантам? Наверное, мы ещё не готовы к этому разговору.
@tomhunter
😁7🤔4🤯2🔥1
#news Активность Lazarus в последнее время так скакнула, что по ним уже составляют квартальные отчёты. Так, исследователи из Elliptic насчитали $240 миллионов, украденных северокорейцами за последние три месяца. Кроме того, Lazarus вернулась ко взлому централизованных криптосервисов – 4 из 5 последних взломов были не по DeFi-платформам.
3 июня пал Atomic Wallet, потеряв более $100 миллионов. 22 июля в один день ещё на сотню прошли взломы CoinsPaid и Alphapo. 4 сентября криптоказино Stake[.]com продуло криптостахановцам ~$41 миллион. И наконец, последней жертвой стала биржа CoinEx, с которой 12 сентября стянули $54 миллиона. По последней краже точного подтверждения пока нет, но всё указывает на Lazarus – так что счёт идёт уже на $300 миллионов за квартал. CoinEx предложила взломщикам выйти на связь и рассчитаться по-божески. Увы, северокорейцы переговоров с криптоимпериалистами не ведут.
@tomhunter
3 июня пал Atomic Wallet, потеряв более $100 миллионов. 22 июля в один день ещё на сотню прошли взломы CoinsPaid и Alphapo. 4 сентября криптоказино Stake[.]com продуло криптостахановцам ~$41 миллион. И наконец, последней жертвой стала биржа CoinEx, с которой 12 сентября стянули $54 миллиона. По последней краже точного подтверждения пока нет, но всё указывает на Lazarus – так что счёт идёт уже на $300 миллионов за квартал. CoinEx предложила взломщикам выйти на связь и рассчитаться по-божески. Увы, северокорейцы переговоров с криптоимпериалистами не ведут.
@tomhunter
🔥12❤4😁1
#news Отдел по изучению ИИ Microsoft допустил утечку 38 терабайт конфиденциальных данных в июле 2020-го года. Личные данные работников Майкрософта, пароли к сервисам, приватные ключи и архив на более чем 30 тысяч сообщений от сотрудников компании. Что это было: взлом, социнженерия, происки радикальных линуксоидов? Да нет, случайно вышло.
Заливая опенсорс-модели на публичный репозиторий на Гитхабе, работник Майкрософт нечаянно слил и ссылку на неверно настроенное хранилище Azure Blob. Ну а ведро оказалось дырявым: на SAS-токене к нему были слишком широкие права с полным доступом к расшаренным файлам. Майкрософт, конечно, успела сообщить, что данные клиентов не были затронуты, а что там слили на их ручных индусов – дело десятое. Ну и, конечно же, прозвучало сакраментальное «исследователи серьёзно преувеличили масштабы утечки». В общем, в июле 2020-го на серверах Майкрософт ничего не произошло.
@tomhunter
Заливая опенсорс-модели на публичный репозиторий на Гитхабе, работник Майкрософт нечаянно слил и ссылку на неверно настроенное хранилище Azure Blob. Ну а ведро оказалось дырявым: на SAS-токене к нему были слишком широкие права с полным доступом к расшаренным файлам. Майкрософт, конечно, успела сообщить, что данные клиентов не были затронуты, а что там слили на их ручных индусов – дело десятое. Ну и, конечно же, прозвучало сакраментальное «исследователи серьёзно преувеличили масштабы утечки». В общем, в июле 2020-го на серверах Майкрософт ничего не произошло.
@tomhunter
😁12❤2
#news GitLab настойчиво призывает пользователей поставить обновление, исправляющее критическую уязвимость. CVE-2023-5009 с оценкой 9.6 по CVSS позволяет злоумышленникам запускать пайплайны от лица других юзеров через запланированные сканирования. Сам эксплойт обходит другую уязвимость, CVE-2023-3932, исправленную в августе.
С учётом особенностей эксплойта он может вести к утечкам данных, атакам на цепочку поставок и прочим неприятным сценариям. Свежий баг исправлен в версии CE 16.3.4 и EE 16.2.7. Если же юзеры испытывают иррациональный страх перед накатыванием обновлений, в уязвимых версиях эксплойт можно обезвредить, если отключить фичи «Direct transfers» и «Security policies». Их можно включать по отдельности, но не вместе. Подробнее об уязвимости в посте об обновлении от Гитлаб.
@tomhunter
С учётом особенностей эксплойта он может вести к утечкам данных, атакам на цепочку поставок и прочим неприятным сценариям. Свежий баг исправлен в версии CE 16.3.4 и EE 16.2.7. Если же юзеры испытывают иррациональный страх перед накатыванием обновлений, в уязвимых версиях эксплойт можно обезвредить, если отключить фичи «Direct transfers» и «Security policies». Их можно включать по отдельности, но не вместе. Подробнее об уязвимости в посте об обновлении от Гитлаб.
@tomhunter
🔥2❤1
#news О китайских госхакерах пишем часто, но у их оппонентов от мира геополитики – США – тоже есть АНБ. Сегодня вспомним о них. Так, спустя десять лет после утечек от Сноудена Китай признал атаку США по серверам Huawei в 2009-м. Тогда целью стал главный офис компании с заходом на взлом и мониторинг систем Huawei.
В свежем отчёте Министерства Госбезопасности Китай сообщает о систематических атаках США по их инфраструктуре с целью кибершпионажа. Недавней целью стал Северо-Западный политехнический университет, за взломом которого в сентябре 2022-го также стояло АНБ. Китай обвиняет США в давлении на компании с целью получить доступ к бэкдорам в их системах. А также упоминает американскую компанию Anomaly Six, якобы внедрившую спайварь во многие мобильные приложения. В общем, кибервойна между сверхдержавами продолжает набирать обороты, а паровозик истории неумолимо везёт нас прямиком в киберпанковое будущее.
@tomhunter
В свежем отчёте Министерства Госбезопасности Китай сообщает о систематических атаках США по их инфраструктуре с целью кибершпионажа. Недавней целью стал Северо-Западный политехнический университет, за взломом которого в сентябре 2022-го также стояло АНБ. Китай обвиняет США в давлении на компании с целью получить доступ к бэкдорам в их системах. А также упоминает американскую компанию Anomaly Six, якобы внедрившую спайварь во многие мобильные приложения. В общем, кибервойна между сверхдержавами продолжает набирать обороты, а паровозик истории неумолимо везёт нас прямиком в киберпанковое будущее.
@tomhunter
🔥13🤡2💩1
#news По следам истории с редиректом на малварь на сайте Free Download Manager разработчик признал проблему. И сообщил, что за этим стояли некие украинские хакеры. На сайте был уязвимый скрипт, в котором поковырялись злоумышленники и настроили редирект на малварь для линуксоидов. При этом разработчик не только не знал об эксплойте, но и ненароком исправил его в рутинном обновлении сайта в 2022-м. И редирект отвалился.
Между тем малварь получили меньше 0,1% юзеров, качавших FDM – у злоумышленников были фильтры под айпишники из разных подсетей. В том числе от Google и Bing. Видимо, поэтому проблема осталась незамеченной. Но разработчик всё же выпустил скрипт для обнаружения малвари. Но оговаривается, что для её удаления стоит «переустанавливать систему». Осталось найти линуксоида, два-три года просидевшего на одной сборке.
@tomhunter
Между тем малварь получили меньше 0,1% юзеров, качавших FDM – у злоумышленников были фильтры под айпишники из разных подсетей. В том числе от Google и Bing. Видимо, поэтому проблема осталась незамеченной. Но разработчик всё же выпустил скрипт для обнаружения малвари. Но оговаривается, что для её удаления стоит «переустанавливать систему». Осталось найти линуксоида, два-три года просидевшего на одной сборке.
@tomhunter
😁11🔥4🤡3
#news Когда речь заходит о мобильном операторе T-Mobile, удивительные истории никогда не заканчиваются. Так, последние пару недель в их приложении был занятный глитч: пользователи могли видеть информацию со сразу нескольких чужих аккаунтов. Имена, номера, адреса, баланс и часть данных кредитки.
Реакция от компании не менее хороша. Несмотря на огромный поток жалоб со стороны юзеров на проблему и молчание техподдержки на протяжение больше двух недель, в T-Mobile заявили, что она затронула меньше 100 клиентов из-за пошедшего не по плану планового ночного обновления. Ночь, как водится в таких случаях, видимо, полярная. Но компания поспешила заверить, что это не был результат взлома. Заверение своевременное: с 2018-го года T-Mobile взламывали 9 (девять) раз. То, что в этот раз просто с апдейтом накосячили, – уже прогресс. После этого их историями с сим-свопингом на публичных персон уже никого не удивишь.
@tomhunter
Реакция от компании не менее хороша. Несмотря на огромный поток жалоб со стороны юзеров на проблему и молчание техподдержки на протяжение больше двух недель, в T-Mobile заявили, что она затронула меньше 100 клиентов из-за пошедшего не по плану планового ночного обновления. Ночь, как водится в таких случаях, видимо, полярная. Но компания поспешила заверить, что это не был результат взлома. Заверение своевременное: с 2018-го года T-Mobile взламывали 9 (девять) раз. То, что в этот раз просто с апдейтом накосячили, – уже прогресс. После этого их историями с сим-свопингом на публичных персон уже никого не удивишь.
@tomhunter
🔥5😁4❤1
#news В штатах поймали дисконтную версию инфобез-Штирлица. Простой работник техподдержки Бюро разведки Госдепа США Абрахам Лемма с декабря прошлого года выгрузил больше 100 разведывательных отчётов и передал их… Эфиопии. Товарищ Лемма, гражданин США родом из этой страны, оказался эфиопским шпионом. И имел доступ к конфиденциальным данным с 2020-го.
Секретные документы и карты, фото военных баз, данные со спутников в регионе – всё это Лемма писал на болванки, выносил из Госдепа и передавал через мессенджер разведке Эфиопии. За свои труды он получил ~$100 тысяч из поездок на родину. Профессионализм африканского шпиона соответствовал ценнику: сразу после кражи данных и по возвращению в США Лемма закидывал грязную шпионскую наличку на свой счёт и ругался на требования банка заполнить отчёт о валютных операциях. Подозрения он также вызвал ведением непонятных заметок на рабочем месте. По обвинениям в шпионаже этому горемыке грозит вплоть до смертной казни или пожизненного.
@tomhunter
Секретные документы и карты, фото военных баз, данные со спутников в регионе – всё это Лемма писал на болванки, выносил из Госдепа и передавал через мессенджер разведке Эфиопии. За свои труды он получил ~$100 тысяч из поездок на родину. Профессионализм африканского шпиона соответствовал ценнику: сразу после кражи данных и по возвращению в США Лемма закидывал грязную шпионскую наличку на свой счёт и ругался на требования банка заполнить отчёт о валютных операциях. Подозрения он также вызвал ведением непонятных заметок на рабочем месте. По обвинениям в шпионаже этому горемыке грозит вплоть до смертной казни или пожизненного.
@tomhunter
😁15🤯7🔥2
#news Google и Apple подверглись резкой критике за неполную информацию о критических уязвимостях. Пару недель назад обе компании сообщили о уязвимостях в своих продуктах: во фреймворке у Эппл для чтения и записи изображений, включая WebP – эту CVE активно эксплойтил Pegasus. И в Хроме, тоже связанная с этим форматом. И обе на переполнение буфера. Чуете подвох?
Как быстро выяснилось, у уязвимостей общий источник – ошибка в библиотеке кода libwebp для обработки WebP-изображений. О чём компании и исследователи из CitizenLab, обнаружившие уязвимости, забыли сообщить. Маленькая недосказанность об уязвимой библиотеке ставит под удар все программные продукты, в которые она интегрирована. Сколько софта уязвимо? Вопрос хороший: libwebp интегрирована в миллионы приложений, ну а в образах контейнеров от Wordpress, Nginx, Python и прочего библиотека засветилась в более 5 миллиардах скачиваний. В общем, масштабы проблемы Гугл с Эпплом замолчали. Самую малость.
@tomhunter
Как быстро выяснилось, у уязвимостей общий источник – ошибка в библиотеке кода libwebp для обработки WebP-изображений. О чём компании и исследователи из CitizenLab, обнаружившие уязвимости, забыли сообщить. Маленькая недосказанность об уязвимой библиотеке ставит под удар все программные продукты, в которые она интегрирована. Сколько софта уязвимо? Вопрос хороший: libwebp интегрирована в миллионы приложений, ну а в образах контейнеров от Wordpress, Nginx, Python и прочего библиотека засветилась в более 5 миллиардах скачиваний. В общем, масштабы проблемы Гугл с Эпплом замолчали. Самую малость.
@tomhunter
🤯10🤡3🔥2
#news Неделя завершается на минорной ноте: в канале украинского сообщества KibOrg утверждают, что хакеры из некой Muppets взломали базу данных российской компании «Сирена-Трэвел». В ней данные пассажиров авиакомпаний, информация об авиаперелётах, бронированиях и страховках. Всего ничего: две базы на 3,4 миллиарда и 664,5 миллиона записей с 2007-го по 2023-й годы. 664 миллиона перелётов.
Пока ждём подтверждения подлинности базы, но предварительно пишут, что данные в выложенном сэмпле на 3 миллиона строк бьются с реальными. Сами хакеры заявляют, что не планируют сливать базу в открытый доступ. А рассчитывают делиться сведениями с журналистами-расследователями, создать бота под платные запросы в базу или… передать её СБУ. Недавно горько шутил про неизбежный слив данных на всех и каждого россиянина. Но как-то они потекли совсем уже не туда.
@tomhunter
Пока ждём подтверждения подлинности базы, но предварительно пишут, что данные в выложенном сэмпле на 3 миллиона строк бьются с реальными. Сами хакеры заявляют, что не планируют сливать базу в открытый доступ. А рассчитывают делиться сведениями с журналистами-расследователями, создать бота под платные запросы в базу или… передать её СБУ. Недавно горько шутил про неизбежный слив данных на всех и каждого россиянина. Но как-то они потекли совсем уже не туда.
@tomhunter
❤11😁6🤬6😢2🤯1🎉1
#news Неделя начинается с интересных законодательных инициатив: согласно новому проекту от Минцифры, провайдеры будут обязаны устанавливать личность своих клиентов. Теперь фишинговый сайт на ру-хостинге злоумышленникам будет не собрать без ручного бомжа.
Подать прошение о самоидентификации можно будет через «Госуслуги» и Единую биометрическую систему, с помощью УКЭП, переводом со счёта в банке России или страны ЕАЭС и предоставлением документов лично. Физические лица обойдутся паспортом или иным документом, удостоверяющим личность. С ИПшников спросят выписку из ЕГРИП. Справочку из реестра запросят и у юридических лиц, а также ни много ни мало документ, подтверждающий полномочия на заключение договора с хостером. Всё это удовольствие ожидается к 1 декабря 2023-го. В общем, без бумажки ты, дорогой аноним, букашка дрожащая, а с бумажкой право на хостинг имеешь.
@tomhunter
Подать прошение о самоидентификации можно будет через «Госуслуги» и Единую биометрическую систему, с помощью УКЭП, переводом со счёта в банке России или страны ЕАЭС и предоставлением документов лично. Физические лица обойдутся паспортом или иным документом, удостоверяющим личность. С ИПшников спросят выписку из ЕГРИП. Справочку из реестра запросят и у юридических лиц, а также ни много ни мало документ, подтверждающий полномочия на заключение договора с хостером. Всё это удовольствие ожидается к 1 декабря 2023-го. В общем, без бумажки ты, дорогой аноним, букашка дрожащая, а с бумажкой право на хостинг имеешь.
@tomhunter
🤡16💩6🔥5😁4❤2